面向網絡安全的數據融合技術研究

倪夏冰　錢錦　任田磊　林宇聰

摘要：現代網絡安全技術主要針對數據應用環節集中在數據采集的實時過程，其中采集過程本身的可靠性和傳輸的安全性，是數據安全技術關心的重點話題。當前，數據融合技術手段的創新應用，主要針對性解決常用無線通信數據傳輸中網絡資源的傳輸流環節，重點借由分布式信息匯聚來實現數據處理，從而有效降低整體數據傳輸體量，提升采集速率，延長網絡使用周期。不過應用數據融合也面臨諸多安全層面問題，需要通過調整優化融合方案，來進一步提高安全性，滿足無線網絡環節的數據傳輸安全需要。

關鍵詞：數據傳輸;數據采集;網絡通信;數據融合;安全管理

一、引言

現代計算機網絡信息技術發展迅猛，且呈現快速更新迭代的基本特點。在產業應用方面，計算機網絡信息技術應用廣泛，其中智能制造、工業生產、金融服務等領域，都離不開信息技術的身影，信息安全便也成為當前時代的技術話題之一。現階段，社會生產和產業升級當中，應用無線通信技術十分普遍，尤其在5G技術的普及過程中，無線通信的數據信息傳輸極大地提高了智能決策、快速統計與云計算數據處理的便捷性，成為產業升級的重點。不過，無線網絡通信模式本身存在節點資源受限、易遭受干擾甚至是攻擊等安全隱患問題，需要引起高度關注。

二、現行數據融合技術形態及安全創新策略

目前無線通信技術正處于快速發展階段，生產環節所用現場設備為了提高效率，會通過無線協議來負責網絡接入，從而形成實時的網絡信息數據收集和集散的特征。為了能夠提高數據處理的實質性效率，在信息數據管理中形成了巨量數據的通信融合技術，希望通過改變數據包單個傳輸局面，形成整合式的數據包傳輸新形態，最終提高數據傳輸效率和實際精度。而在數據融合過程中，現有無線信道本身為對外開放，攻擊者或可通過開放信道來對信道中傳輸數據進行竊聽，或進行身份偽裝來傳輸虛假信息，影響數據接收端對于數據判斷。

安全性的挑戰是當前數據融合技術的創新方向，現行技術領域針對更高安全級別的數據融合技術提出兩種升級策略。其一是進行逐跳加密技術，針對重復性數據信息進行運算加密，但是在實際使用中存在解密運算方面的問題，導致數據融合傳輸速率受限;其二是非加密的節點信譽度技術，通過諸如神經網絡等手段為通信節點參與融合情況進行授信，從而達到數據融合加密技術的實際目標。

逐跳加密技術手段就目前來看，相對原始，但是在數據融合中應用廣泛。實際技術邏輯為：當數據包在無線網絡中向上級進行傳輸，需要經歷數據解密、數據融合、加密等多個過程，過程中的融合數據節點在整個數據傳輸流中，最易受到攻擊。相應的加密執行過程內部，攻擊者便能夠直接通過對融合節點數據包進行解密、篡改、竊取等，獲取其中關鍵信息或傳播虛假信息，影響數據傳輸結果，導致融合數據傳輸中的加密失效。與此同時，整個加密過程有著十分復雜的網絡拓撲結構，一旦數據融合經歷層級數量增多，所有經歷節點就必須頻繁執行解密加密的操作過程，導致流程十分臃腫。最后，由于應用加密技術手段，逐跳加密本身能夠抵抗外部的信息攻擊，但是對于內部攻擊缺乏防御力。部分技術研究人員則需要通過引入同態加密或者信譽度評估等手段來增強加密強度，無疑進一步增加了數據融合的繁復程度，不利于簡潔高效的數據融合功能實現。有研究學者提出了應用融合數據隱私機制，構建CPDA以及SMART兩種融合安全技術手段。前者通過隨機數私密進行數據采樣，再通過二次多項式來對原始數據進行隱藏;厚澤通過分片重組形式進行因此保護，利用感知節點數據進行分片，并最終實現相鄰節點之間的數據分片共享，最后利用粗頭來對分片進行sum融合執行獲得數據結果。

雖然當前兩種數據融合技術手段擁有較為普遍的應用場景，能夠解決存在的數據安全性和隱私保護諸多問題，但在實際運行中成本投入較高，不同融合周期內節點之間需要進行多次的數據交換，甚至在下一跳轉發中需要頻繁進行加解密操作，影響無線網絡的資源通信強度。其中SMART模式尚無法有效解決數據通信中丟包問題，出現丟包現象就會導致數據融合結果出現巨大偏差。近年來針對數據丟包出現了ESMART技術手段，該技術模型針對前一代進行技術升級，通過嘗試單節點隨機分割來完成數據分片。技術應用雖然能夠在一定程度上降低通信數據總量，但仍然未能完全解決丟包問題，同樣在實際傳輸尤其是重要數據融合傳輸中，仍不適用。

與逐跳加密技術相比較，端到端的技術加密機制無論是同態加密還是節點融合，都存在一些技術上難以解決的實際問題。雖然當前技術發展領域當中，同態加密本身的端到端安全鏈路是融合創新的發展方向，然而在實際技術應用中，同態加密的算法構造問題、終端機密性保護和完整性驗證等問題需要得到徹底解決，才能夠真正使同態加密技術呈現出活力。應用中也需要在節點加密職前，針對數據進行加密編碼。完成編碼后使編碼數據能夠保留原始值相關信息，同時保留范圍內的順序信息，最終保證方案能夠在傳輸中支持求和求最值等融合函數。編碼當中的原始數據的尺寸相應縮小，應用同態加密編制密文，基站在進行譯碼獲得數據。

三、無線網絡的數據融合安全性模型構建

（一）基于安全性的數據融合形式

為了提高無線網絡當中數據傳輸的整體安全性，需要針對性進行消息認證，現象認證碼主要有以下兩種。其中一種是哈希函數密鑰，簡稱HMAC。該密鑰主要針對發送方和接收方進行雙向共享，其中單向密鑰可以充當部分輸入另一部分進行消息驗證的模型得到應用。而雙向密鑰則通過雜湊函數來設定前后綴，從而有效防治攻擊者憑借已知的密鑰結構來進行前后綴選擇實現修改信息的目的;另一種是通過分組密碼的形式來制作消息認證碼，簡稱為CMAC，在實際的雙向密鑰共享情況之中，分組密碼主要通過分組連接CBC的模式來重新進行認證碼的構造。與分組加密形式相同，需要通過消息分組的認證來對當前認證碼中的分組密碼長度進行識別。當末位消息位數不足時則進行隨機填充，實現前一份組加密進行輸出可以作為后一分組加密的輸入，并構成循環重復，產生最終加密MAC碼。該認證碼形式主要實現加密過程中不同分組之間的相互聯系，從而增進了消息認證碼本身所具有的安全性。

（二）融合數據模型的安全工具

當前數據融合技術中，融合模型的按應用需要涉及多環節的安全管控，因此分別需要針對具體的網絡設計模型工具進行說明。常見模型工具應用控制環節主要包括以下四個部分。

其一是數據流的匯聚節點sink，該環節是無線網絡系統當中的管理者環節，主要利用網絡節點來實現密鑰信息分配，并對管理節點的加入和退出進行控制。實際運行中，匯聚節點會采用王冠類的資源富裕型設備擔任，運行中其本身的存儲能力和計算能力不會受到網絡環境限制。

其二是簇首CH，該環節節點主要依托網絡系統內部的能量算法，實際應用中除了分擔網絡管理功能外，在模型當中簇首還將作為中間融合節點，主要參與到簇內和簇間的數據融合工作。

其三是傳感器節點SN，該部分主要處于無線網絡當中的現場環節，由具體網絡環境現場設備充當。主要功能未聽傳感器設備來對周邊環境信息進行采集，通過感知數據進行向上傳輸。

其四是攻擊者，當前網絡安全模型主要針對內部攻擊進行防御處而略研究，內部攻擊中常見攻擊者通過偽裝身份方式進行虛假信息報送或者篡改過程采樣信息，導致結果錯誤。部分攻擊者還會有限對簇首進行共計，通過對流數據包形式進行數據分包和轉發。

以上四個方面是當前融合數據安全管理模型當中需要通過安全管控工具來進行有效管理的重點環節。

四、數據融合在網絡安全的技術內涵

（一）安全需求下的數據融合技術創新

數據融合技術主要解決傳統生產環節中由于環境監測所需要的傳感器海量數據內容的流動和報送。常見傳統生產環節中，無線網絡本身的節點通信能力以及通信能量制約，導致在實際的海量數據傳輸過程中無法快速有效地完成數據統計。為了能夠有效解決生產過程中傳感器數據流動的數據量問題，數據融合技術誕生了。數據融合技術是當前無線網絡技術中的核心手段，主要通過融合算法對海量數據進行匯聚和壓縮，進而減少單位時間和網絡通道內的數據傳輸總量，降低系統時延，提高數據效率。在網絡安全需求下，數據融合技術除了要保證自身的通信效率，還需要明確安全管控的技術方向。

（二）安全管理中數據融合技術需保證的技術優勢

安全管理是數據融合技術的創新方向，但是在安全模型建設和完善中，應當始終保持數據融合技術本身的優勢特性。從數據融合技術的現場應用來看，數據融合技術需要在安全管理環境下始終具備兩方面優勢：其一，數據融合技術需要保證對于數據傳輸量的整體控制，其中傳感器節點在進行蔬菜上傳中，需要始終利用數據融合技術保證有價值的數據幀的傳輸，利用融合方式對有價值幀之間的中間節點進行融合操作，來持續減少數據傳輸總量，節約傳輸能量;其二，數據融合技術要能夠持續有效降低無線網絡堵塞，利用融合技術手段，使得鄰居節點能夠成為數據傳輸的融合中專，降低轉發次數，進而保證網絡通常，避免出現堵塞問題。

五、數據融合技術在無線網絡環境中的安全方案

（一）解決常見的數據融合安全問題

傳統消息認證碼機制中哈希函數機制和分組密碼機制能夠有效對融合數據傳輸進行完整性驗證，因此匯聚節點所最終獲得的數據并非是節點的原始數據。傳統MAC算法并不能夠對采樣數據進行完整性校驗，其中簇首所處的中間融合過程會產生對于節點數據信息的篡改，導致融合結構發生變化。實際應用同態加密的效益認證碼可以憑借同態性質，實現端到端的完整性保證，最終數據與認證碼共同執行融合操作，并根據融合結果重新計算獲得MAC碼，并對比分析融合值后判斷最終結果是否完整。

真實場景中的無線網絡資源受限，其完整性保證是安全管理技術的重大難題，模型建設和最終的安全方案需要解決以下幾個方面的難題：其一是消息篡改難題，其中攻擊者可以通過對網絡傳輸中的數據包進行截取，通過插入、刪除、篡改等方式來使終端結果發生錯誤;其二是竊聽攻擊難題，數據融合所處無線信道本身具有開放性，現階段網絡攻擊技術中課通過嗅探工具對無線數據包進行隨機抓取，當被抓取數據包未進行加密處理，攻擊者便可以通過解碼數據包形式獲取其中數據信息;其三是拒絕服務攻擊，其中攻擊者會通過偽裝自身為合法節點的方式，向當前數據傳輸網絡發送超量的無異議數據信息，進而完成對于節點數據傳輸耗能，導致網絡擁堵甚至造成網絡癱瘓，是當前節點無法提供正常數據服務;其四是重放攻擊，其中攻擊者在完成了對于節點歷史數據獲取后，向該節點發送舊數據包。由于數據包已喪失實效性，歷史數據無法融合難以做到實時統計，最終導致數據誤判;其五是女巫攻擊，其中攻擊者會通過單個節點來進行多身份偽造，并利用女巫節點對自己ID進行廣播，使ID出現在路由表當中。一旦數據經女巫節點進行轉發時，可能出現轉發至其他女巫節點或不轉發行為，產生對于數據融合的干擾。

（二）數據融合的安全策略

針對端到端形式數據融合的安全傳輸，需要建立四環節安全管理控制步驟，分別為初始化認證、混淆數據的同臺標簽、數據融合和最終的網關分析。其中認證初始化階段主要利用節點安全入網和分簇網絡形成的實際，通過匯聚節點廣播的方式進行隨機數序列請求，指導序列傭金后，在通過密鑰在匯聚節點和傳感器節點之間進行雙向認證，來提高安全性;混淆數據中，同態標簽的生成階段，傳感器節點主要通過接受共享私密隨機數來形成安全偽隨機函數輸入，形成對于節點采樣數據的混淆;在進入到數據融合階段后，傳感器節點通過發送混淆數據的同態標簽，使簇首能夠對其數據的新鮮性和真實性加以驗證，最后在進行SUM融合;最后在匯聚節點的解析環節，主要針對匯聚節點所接收到的各簇首發送融合數據，針對完成印證的混淆數據執行SUM融合，并利用融合結果進行同態標簽的計算，對比融合值判斷是否接受當次結果。

（三）數據安全的實現目標

數據融合的安全目標主要分為三個部分：首先是數據本身的機密性，即傳感器節點數據在融合過程中本身機密性。鑒于傳統數據融合主要借由分層形式進行，導致網絡當中出現眾多融合節點，因此需要利用公鑰加密的形式完成加密，在通過中間融合節點的解密之后參與融合，避免遭到數據私密性攻擊，影響數據使用;其次是數據的完整性，加密技術保證了數據機密性后，仍然面臨遭受攻擊者篡改內容等問題，接收者無法通過解密獲得準確真實結果，導致數據泄露或傳輸融合失敗。安全控制中主要通過MAC碼來保證數據完整性，在傳輸中MAC利用單向哈希函數生成，從而確保攻擊者無法獲得你想數據;最后是數據的新鮮性。數據融合相比傳統數據形式更加強調數據失效，其中匯聚節點所完成的數據融合需要通過統計分析反映及時情況，缺失及時性就會導致融合數據結果不準確。

為了能夠提高新鮮性，數據融合需要借助計數器或者時間戳等方式，來進行對于外部攻擊的有效抵御。接受者在完成數據接收后，可以通過存儲值和接收值比對的方式來判斷數據包新鮮性，做出相應的決策。

作者單位：倪夏冰? ? 國網浙江省電力有限公司桐廬供電分公司

錢錦? ? 國網杭州供電公司

任田磊? ? 林宇聰? ? 國網浙江省電力有限公司桐廬供電分公司

參? 考? 文? 獻

[1]任遠林，沐娟.基于ZigBee技術的建筑環境多源監測數據融合研究[J].寧夏師范學院學報，2022，43（04）：78-86.

[2]曹軻，譚沖，劉洪，鄭敏.基于改進灰狼算法優化BP神經網絡的無線傳感器網絡數據融合算法[J].中國科學院大學學報，2022，39（02）：232-239.

[3]白冰.基于可視化和數據融合技術的多元異構網絡數據安全防護分析[J].電子設計工程，2020，28（13）：137-140+146.

[4]汪乾. 無線傳感器網絡女巫攻擊檢測與安全數據融合策略研究[D].安徽建筑大學，2020.